Distribuzione della funzionalità Mobile Device Management

Questa sezione fornisce informazioni sulla distribuzione iniziale della funzionalità Mobile Device Management.

Connessione dei dispositivi KES ad Administration Server

A seconda del metodo utilizzato per la connessione dei dispositivi ad Administration Server, sono possibili due schemi di distribuzione per Kaspersky Device Management for iOS per i dispositivi KES:

• Schema di distribuzione con connessione diretta dei dispositivi all'Administration Server
• Schema di distribuzione che coinvolge un proxy inverso che supporta la delega vincolata Kerberos

Connessione diretta dei dispositivi all'Administration Server

I dispositivi KES possono connettersi direttamente alla porta 13292 di Administration Server.

A seconda del metodo utilizzato per l'autenticazione, sono possibili due opzioni per la connessione dei dispositivi KES all'Administration Server:

• Connessione dei dispositivi con un certificato utente
• Connessione dei dispositivi senza un certificato utente

Connessione di un dispositivo con un certificato utente

Durante la connessione di un dispositivo con un certificato utente, il dispositivo viene associato all'account utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

In questo caso verrà utilizzata l'autenticazione SSL bidirezionale (autenticazione reciproca). Sia l'Administration Server che il dispositivo verranno autenticati con certificati.

Connessione di un dispositivo senza un certificato utente

Durante la connessione di un dispositivo senza un certificato utente, il dispositivo non viene associato ad alcun account utente in Administration Server. Tuttavia, quando il dispositivo riceve un certificato, il dispositivo verrà associato all'utente a cui è stato assegnato il certificato corrispondente tramite gli strumenti di Administration Server.

Durante la connessione del dispositivo all'Administration Server, sarà applicata l'autenticazione SSL unidirezionale, il che significa che solo l'Administration Server viene autenticato con il certificato. Dopo il recupero del certificato utente da parte del dispositivo, il tipo di autenticazione diventerà autenticazione SSL bidirezionale (autenticazione SSL bidirezionale, autenticazione reciproca).

Schema per la connessione dei dispositivi KES al server tramite Kerberos Constrained Delegation (KCD)

Lo schema per la connessione dei dispositivi KES all'Administration Server tramite Kerberos Constrained Delegation (KCD) offre quanto segue:

• Integrazione con un proxy inverso che supporta KCD.
• Utilizzo di Kerberos Constrained Delegation (di seguito denominato KCD) per l'autenticazione dei dispositivi mobili.
• Integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) per l'applicazione dei certificati utente.

Quando si utilizza questo schema di connessione, tenere presente quanto segue:

• Il tipo di connessione dei dispositivi KES al proxy inverso deve essere l'autenticazione SSL bidirezionale: un dispositivo deve connettersi al proxy inverso tramite il relativo certificato utente proprietario. A tale scopo, è necessario integrare il certificato utente nel pacchetto di installazione di Kaspersky Endpoint Security for Android, che è stato installato nel dispositivo. Questo pacchetto KES deve essere creato dall'Administration Server specificamente per questo dispositivo (utente).
• È necessario specificare lo speciale certificato (personalizzato) invece del certificato server predefinito per il protocollo mobile:
  1. Nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e selezionare Aggiungi certificato nell'elenco a discesa.
  2. Nella finestra visualizzata specificare lo stesso certificato che è stato impostato nel proxy inverso al momento della pubblicazione del punto di accesso al protocollo mobile nell'Administration Server.
• I certificati utente per i dispositivi KES devono essere emessi dall'Autorità di certificazione (CA) del dominio. Tenere presente che se il dominio include più Autorità di certificazione radice, i certificati utente devono essere emessi dall'Autorità di certificazione che è stata impostata nella pubblicazione nel proxy inverso.

  È possibile garantire che il certificato utente sia conforme a tale requisito utilizzando uno dei seguenti metodi:

  • Specificare lo certificato utente speciale nella Creazione guidata nuovo pacchetto e nell'Installazione guidata certificato.
  • Integrare l'Administration Server con l'infrastruttura PKI del dominio e definire l'impostazione corrispondente nelle regole per l'emissione dei certificati:
    1. Nella struttura della console espandere la cartella Mobile Device Management, quindi selezionare la sottocartella Certificati.
    2. Nell'area di lavoro della cartella Certificati fare clic sul pulsante Configura regole di emissione certificati per aprire la finestra Regole di emissione certificati.
    3. Nella sezione Integrazione con PKI configurare l'integrazione con l'infrastruttura a chiave pubblica (PKI).
    4. Nella sezione Emissione di certificati mobili specificare l'origine dei certificati.

Di seguito è riportato un esempio di configurazione di Kerberos Constrained Delegation (KCD) con i seguenti presupposti:

• Il punto di accesso al protocollo mobile in Administration Server è impostato sulla porta 13292.
• Il nome del dispositivo con il proxy inverso è firewall.mydom.local.
• Il nome del dispositivo con Administration Server è ksc.mydom.local.
• Il nome della pubblicazione esterna del punto di accesso al protocollo mobile è kes4mob.mydom.global.

Account di dominio per Administration Server

È necessario creare un account di dominio (ad esempio, KSCMobileSrvcUsr) con cui verrà eseguito il servizio Administration Server. È possibile specificare un account per il servizio Administration Server al momento dell'installazione di Administration Server o tramite l'utilità klsrvswch. L'utilità klsrvswch è disponibile nella cartella di installazione di Administration Server. Il percorso di installazione predefinito: <Disco>:\Programmi (x86)\ Kaspersky Lab\ Kaspersky Security Center.

È necessario specificare un account di dominio per i motivi seguenti:

• La funzionalità di gestione dei dispositivi KES è una parte integrante di Administration Server.
• Per garantire il corretto funzionamento di Kerberos Constrained Delegation (KCD), la parte ricevente (ovvero, Administration Server) deve essere in esecuzione con un account di dominio.

Nome dell'entità servizio per http/kes4mob.mydom.local

Nel dominio, con l'account KSCMobileSrvcUsr, aggiungere un SPN per pubblicare il servizio del protocollo mobile sulla porta 13292 del dispositivo con Administration Server. Per il dispositivo kes4mob.mydom.local con Administration Server, si presenta come segue:

setspn -a http/kes4mob.mydom.local:13292 mydom\KSCMobileSrvcUsr

Configurazione delle proprietà di dominio del dispositivo con il proxy inverso (firewall.mydom.local)

Per delegare il traffico, è necessario impostare come attendibile il dispositivo con il proxy inverso (firewall.mydom.local) per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292).

Per impostare come attendibile il dispositivo con il proxy inverso per il servizio definito dall'SPN (http/kes4mob.mydom.local:13292), l'amministratore deve eseguire seguenti le operazioni:

1. Nello snap-in Microsoft Management Console "Utenti e computer di Active Directory" selezionare il dispositivo in cui è installato il proxy inverso (firewall.mydom.local).
2. Nelle proprietà del dispositivo, nella scheda Delega, impostare l'interruttore Computer attendibile per la delega solo ai servizi specificati su Utilizza un qualsiasi protocollo di autenticazione.
3. Nell'elenco Servizi ai quali l'account può presentare credenziali delegate aggiungere l'SPN http/kes4mob.mydom.local:13292.

Speciale certificato (personalizzato) per la pubblicazione (kes4mob.mydom.global)

Per pubblicare il protocollo mobile di Administration Server, è necessario emettere uno speciale certificato (personalizzato) per il nome FQDN kes4mob.mydom.global e specificarlo invece del certificato server predefinito nelle impostazioni del protocollo mobile di Administration Server in Administration Console. A tale scopo, nella finestra delle proprietà di Administration Server, nella sezione Impostazioni, selezionare la casella di controllo Apri porta per i dispositivi mobili e quindi selezionare Aggiungi certificato nell'elenco a discesa.

Il contenitore del certificato server (file con estensione p12 o pfx) deve anche contenere una catena di certificati radice (chiavi pubbliche).

Configurazione della pubblicazione nel proxy inverso

Nel proxy inverso, per il traffico dal dispositivo mobile alla porta 13292 kes4mob.mydom.global, è necessario configurare KCD sull'SPN (http/kes4mob.mydom.local:13292) utilizzando il certificato server emesso per il nome FQDN kes4mob.mydom.global. La pubblicazione e il punto di accesso pubblicato (la porta 13292 di Administration Server) devono condividere lo stesso certificato server.

Utilizzo di Firebase Cloud Messaging

Per garantire l'invio tempestivo dei comandi ai dispositivi KES gestiti dal sistema operativo Android, Kaspersky Security Center usa il meccanismo delle notifiche push. Le notifiche push vengono scambiate tra i dispositivi KES e Administration Server tramite Firebase Cloud Messaging (di seguito FCM). In Kaspersky Security Center Administration Console è possibile specificare le impostazioni di Cloud Firebase Messaging per la connessione dei dispositivi KES al servizio.

Per recuperare le impostazioni di Firebase Cloud Messaging, è necessario disporre di un account Google.

Per abilitare l'utilizzo di FCM:

1. In Administration Console selezionare il nodo Mobile Device Management e la cartella Dispositivi mobili.
2. Dal menu di scelta rapida della cartella Dispositivi mobili selezionare Proprietà.
3. Nelle proprietà della cartella selezionare la sezione Impostazioni di Google Firebase Cloud Messaging.
4. Nel campo ID mittente, specificare l'ID del mittente FCM.
5. Nel campo File della chiave privata (in formato JSON), selezionare il file della chiave privata.

Alla successiva sincronizzazione con Administration Server, i dispositivi KES gestiti da sistemi operativi Android verranno connessi a Firebase Cloud Messaging.

È possibile modificare le impostazioni di Firebase Cloud Messaging facendo clic sul pulsante Ripristina impostazioni.

Quando si passa a un progetto Firebase diverso, è necessario attendere 10 minuti per il ripristino di FCM.

Il servizio FCM viene eseguito nei seguenti intervalli di indirizzi:

• Sul lato del dispositivo KES, è necessario l'accesso alle porte 443 (HTTPS), 5228 (HTTPS), 5229 (HTTPS) e 5230 (HTTPS) dei seguenti indirizzi:
  • google.com
  • fcm.googleapis.com
  • android.apis.google.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169
• Sul lato dell'Administration Server, è necessario l'accesso alla porta 443 (HTTPS) dei seguenti indirizzi:
  • fcm.googleapis.com
  • Tutti gli indirizzi IP elencati nell'ASN Google numero 15169

Se le impostazioni del server proxy (Avanzate / Configurazione dell'accesso a Internet) sono state specificate nelle proprietà di Administration Server in Administration Console, saranno utilizzate per l'interazione con FCM.

Configurazione di FCM: ottenere l'ID del mittente e il file della chiave privata

Per configurare il FCM:

1. Eseguire la registrazione nel portale Google.
2. Passare alla console Firebase.
3. Eseguire una delle seguenti operazioni:
   • Per creare un nuovo progetto, fare clic su Crea un progetto e seguire le istruzioni sullo schermo.
   • Aprire un progetto esistente.
4. Fare clic sull'icona a forma di ingranaggio e selezionare Impostazioni progetto.

   Verrà visualizzata la finestra Impostazioni progetto.

5. Selezionare la scheda Cloud Messaging.
6. Recuperare l'ID del mittente pertinente dal campo ID mittente nella sezione Firebase Cloud Messaging API (V1).
7. Selezionare la scheda Account di servizio e fare clic su Genera nuova chiave privata.
8. Nella finestra visualizzata, fare clic su Genera chiave per generare e scaricare un file di chiave privata.

Firebase Cloud Messaging è ora configurato.

Integrazione con PKI (Public Key Infrastructure)

L'integrazione con l'infrastruttura Public Key Infrastructure (di seguito denominata PKI) ha principalmente l'obiettivo di semplificare l'emissione dei certificati utente di dominio da parte di Administration Server.

L'amministratore può assegnare un certificato di dominio per un utente in Administration Console. A tale scopo, è possibile utilizzare uno dei seguenti metodi:

• Assegnare all'utente uno speciale certificato (personalizzato) da un file nell'Installazione guidata certificato.
• Eseguire l'integrazione con PKI e assegnare a PKI il ruolo di origine dei certificati per un tipo specifico di certificati o per tutti i tipi di certificati.

Le impostazioni dell'integrazione con PKI sono disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI).

Principio generale di integrazione con PKI per l'emissione dei certificati utente di dominio

In Administration Console fare clic sul collegamento Integra con infrastruttura a chiave pubblica (PKI) nell'area di lavoro della cartella Mobile Device Management / Certificati per specificare un account di dominio che sarà utilizzato da Administration Server per emettere i certificati utente di dominio tramite l'Autorità di certificazione del dominio (di seguito denominato account utilizzato per l'integrazione con PKI).

Tenere presente quanto segue:

• Le impostazioni di integrazione con PKI offrono la possibilità di specificare il modello predefinito per tutti i tipi di certificati. Le regole per l'emissione dei certificati (disponibili nell'area di lavoro della cartella Mobile Device Management / Certificati facendo clic sul pulsante Configura regole di emissione certificati) consentono di specificare un singolo modello per ogni tipo di certificati.
• Un speciale certificato Enrollment Agent (EA) deve essere installato nel dispositivo con Administration Server, nell'archivio di certificati dell'account utilizzato per l'integrazione con PKI. Il certificato Enrollment Agent (EA) viene emesso dall'amministratore dell'Autorità di certificazione del dominio.

L'account utilizzato per l'integrazione con PKI deve soddisfare i seguenti criteri:

• È un utente di dominio.
• È un amministratore locale del dispositivo con Administration Server da cui viene avviata l'integrazione con PKI.
• Ha il diritto di accesso come servizio.
• Il dispositivo in cui è installato Administration Server deve essere in esecuzione almeno una volta con questo account per creare un profilo utente permanente.

Server Web di Kaspersky Security Center

Il Server Web di Kaspersky Security Center (di seguito denominato server Web) è un componente di Kaspersky Security Center. Il server Web è progettato per la pubblicazione di pacchetti di installazione indipendenti, pacchetti di installazione indipendenti per dispositivi mobili e file dalla cartella condivisa.

I pacchetti di installazione creati vengono pubblicati automaticamente sul server Web e vengono rimossi dopo il primo download. L'amministratore può inviare il nuovo collegamento all'utente con qualsiasi sistema (ad esempio, tramite e-mail).

Facendo clic su questo collegamento, l'utente può scaricare le informazioni richieste in un dispositivo mobile.

Impostazioni del server Web

Se è necessario ottimizzare il server Web, le relative proprietà consentono di modificare le porte per HTTP (8060) e HTTPS (8061). Oltre a modificare le porte, è possibile sostituire il certificato server per HTTPS e modificare il nome FQDN del server Web per HTTP.